Android 安全公告包含影響 Android 設備的安全漏洞的詳細信息。 2023-04-05 或更高版本的安全補丁程序級別解決了所有這些問題。要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本。
Android 合作夥伴會在發布前至少一個月收到所有問題的通知。針對這些問題的源代碼補丁已發佈到 Android 開源項目 (AOSP) 存儲庫並從此公告鏈接。此公告還包括指向 AOSP 之外的補丁程序的鏈接。
這些問題中最嚴重的是系統組件中的一個嚴重安全漏洞,可能導致遠程(近端/相鄰)代碼執行而無需額外的執行權限。開發不需要用戶交互。嚴重性評估基於利用漏洞可能對受影響設備產生的影響,假設平台和服務緩解措施已關閉以用於開發目的或成功繞過。
有關提高Android平台安全性的 Android 安全平台保護和 Google Play Protect 的詳細信息,請參閱 Android 和 Google Play Protect 緩解措施部分。
Android 和 Google 服務緩解措施
這是Android 安全平台和服務保護(例如Google Play Protect)提供的緩解措施的摘要。這些功能降低了在 Android 上成功利用安全漏洞的可能性。
- Android 平台較新版本的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
- Android 安全團隊通過Google Play Protect積極監控濫用情況,並就潛在有害應用程序向用戶發出警告。默認情況下,Google Play Protect 在具有Google Mobile Services 的設備上啟用,對於從 Google Play 外部安裝應用程序的用戶來說尤為重要。
2023-04-01 安全補丁級漏洞詳情
在以下部分中,我們提供了適用於 2023-04-01 補丁級別的每個安全漏洞的詳細信息。漏洞被分組在它們影響的組件下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考鏈接到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的設備可能會收到安全更新以及Google Play 系統更新。
框架
這一部分中最嚴重的漏洞可能導致本地權限提升,而無需額外的執行權限。開發不需要用戶交互。
| CVE | 參考 | 類型 | 嚴重性 | 更新的 AOSP 版本 |
|---|---|---|---|---|
| CVE-2023-21081 | A-230492955 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21088 | A-235823542 | 期末 | 高的 | 12、12L、13 |
| CVE-2023-21089 | A-237766679 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21092 | A-242040055 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21094 | A-248031255 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21097 | A-261858325 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21098 | A-260567867 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21090 | A-259942609 | 拒絕服務 | 高的 | 13 |
| CVE-2023-20950 | A-195756028 | 期末 | 緩和 | 11、12、12L |
系統
本節中最嚴重的漏洞可能導致遠程(近端/相鄰)代碼執行,無需額外的執行權限。開發不需要用戶交互。
| CVE | 參考 | 類型 | 嚴重性 | 更新的 AOSP 版本 |
|---|---|---|---|---|
| CVE-2023-21085 | A-264879662 | RCE | 批判的 | 11, 12, 12L, 13 |
| CVE-2023-21096 | A-254774758 [ 2 ] [ 3 ] | RCE | 批判的 | 12、12L、13 |
| CVE-2022-20463 | A-231985227 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-20967 | A-225879503 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21084 | A-262892300 [ 2 ] | 期末 | 高的 | 13 |
| CVE-2023-21086 | A-238298970 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21093 | A-228450832 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21099 | A-243377226 | 期末 | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21100 | A-242544249 | 期末 | 高的 | 12、12L、13 |
| CVE-2022-20471 | A-238177877 [ 2 ] [ 3 ] | ID | 高的 | 11, 12, 12L, 13 |
| CVE-2023-20909 | A-243130512 [ 2 ] [ 3 ] | ID | 高的 | 11, 12, 12L, 13 |
| CVE-2023-20935 | A-256589724 [ 2 ] | ID | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21080 | A-245916076 | ID | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21082 | A-257030107 | ID | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21083 | A-252762941 | ID | 高的 | 11, 12, 12L, 13 |
| CVE-2023-21091 | A-257954050 | 拒絕服務 | 高的 | 13 |
Google Play 系統更新
Project Mainline 組件中包含以下問題。
| 子組件 | CVE |
|---|---|
| 媒體供應商 | CVE-2023-21093 |
| 無線上網 | CVE-2022-20463 |
2023-04-05 安全補丁級漏洞詳情
在下面的部分中,我們提供了適用於 2023-04-05 補丁級別的每個安全漏洞的詳細信息。漏洞被分組在它們影響的組件下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考鏈接到錯誤 ID 後面的數字。
核心
這部分中最嚴重的漏洞可能導致內核中的本地權限提升,而無需額外的執行權限。開發不需要用戶交互。
| CVE | 參考 | 類型 | 嚴重性 | 子組件 |
|---|---|---|---|---|
| CVE-2022-4696 | A-264692298 上游內核[ 2 ] | 期末 | 高的 | io_uring |
| CVE-2023-20941 | A-264029575 上游內核 | 期末 | 高的 | USB |
手臂組件
這些漏洞影響 Arm 組件,更多詳細信息可直接從 Arm 獲取。這些問題的嚴重性評估由 Arm 直接提供。
| CVE | 參考 | 嚴重性 | 子組件 |
|---|---|---|---|
| CVE-2022-33917 | A-259984559 * | 高的 | 馬里 |
| CVE-2022-36449 | A-259983537 * | 高的 | 馬里 |
| CVE-2022-38181 | A-259695958 * | 高的 | 馬里 |
| CVE-2022-41757 | A-254445909 * | 高的 | 馬里 |
| CVE-2022-42716 | A-260148146 * | 高的 | 馬里 |
想像力技術
這些漏洞影響 Imagination Technologies 組件,更多詳細信息可直接從 Imagination Technologies 獲取。這些問題的嚴重性評估由 Imagination Technologies 直接提供。
| CVE | 參考 | 嚴重程度 | 子組件 |
|---|---|---|---|
| CVE-2021-0872 | A-270401229 * | 高的 | PowerVR-GPU |
| CVE-2021-0873 | A-270392711 * | 高的 | PowerVR-GPU |
| CVE-2021-0874 | A-270399633 * | 高的 | PowerVR-GPU |
| CVE-2021-0875 | A-270400061 * | 高的 | PowerVR-GPU |
| CVE-2021-0876 | A-270400229 * | 高的 | PowerVR-GPU |
| CVE-2021-0878 | A-270399153 * | 高的 | PowerVR-GPU |
| CVE-2021-0879 | A-270397970 * | 高的 | PowerVR-GPU |
| CVE-2021-0880 | A-270396792 * | 高的 | PowerVR-GPU |
| CVE-2021-0881 | A-270396350 * | 高的 | PowerVR-GPU |
| CVE-2021-0882 | A-270395803 * | 高的 | PowerVR-GPU |
| CVE-2021-0883 | A-270395013 * | 高的 | PowerVR-GPU |
| CVE-2021-0884 | A-270393454 * | 高的 | PowerVR-GPU |
| CVE-2021-0885 | A-270401914 * | 高的 | PowerVR-GPU |
聯發科組件
這些漏洞影響 MediaTek 組件,更多詳細信息可直接從 MediaTek 獲取。這些問題的嚴重性評估由聯發科技直接提供。
| CVE | 參考 | 嚴重程度 | 子組件 |
|---|---|---|---|
| CVE-2022-32599 | A-267957662 M-ALPS07460390 * | 高的 | 每分鐘轉數 |
| CVE-2023-20652 | A-267959360 M-ALPS07628168 * | 高的 | 密鑰安裝 |
| CVE-2023-20653 | A-267959361 M-ALPS07628168 * | 高的 | 密鑰安裝 |
| CVE-2023-20654 | A-267955234 M-ALPS07628168 * | 高的 | 密鑰安裝 |
| CVE-2023-20655 | A-267959364 M-ALPS07203022 * | 高的 | mmsdk |
| CVE-2023-20656 | A-267957665 M-ALPS07571494 * | 高的 | 精靈地帶 |
| CVE-2023-20657 | A-267955236 M-ALPS07571485 * | 高的 | mtee |
紫光元器件
這些漏洞影響 Unisoc 組件,更多詳細信息可直接從 Unisoc 獲得。這些問題的嚴重性評估由紫光展銳直接提供。
| CVE | 參考 | 嚴重程度 | 子組件 |
|---|---|---|---|
| CVE-2022-47335 | A-268377608 U-2073898 * | 高的 | 安卓 |
| CVE-2022-47338 | A-268412170 U-2066670 * | 高的 | 安卓 |
| CVE-2022-47336 | A-268377609 U-2073898 * | 高的 | 安卓 |
| CVE-2022-47337 | A-268410193 U-2100732 * | 高的 | 固件 |
高通組件
此漏洞會影響 Qualcomm 組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。該問題的嚴重性評估由 Qualcomm 直接提供。
| CVE | 參考 | 嚴重程度 | 子組件 |
|---|---|---|---|
| CVE-2022-40503 | A-258057241 QC-CR#3237187 [ 2 ] | 高的 | 藍牙 |
高通閉源組件
這些漏洞會影響 Qualcomm 閉源組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。
| CVE | 參考 | 嚴重程度 | 子組件 |
|---|---|---|---|
| CVE-2022-33231 | A-250627388 * | 批判的 | 閉源組件 |
| CVE-2022-33288 | A-250627565 * | 批判的 | 閉源組件 |
| CVE-2022-33289 | A-250627430 * | 批判的 | 閉源組件 |
| CVE-2022-33302 | A-250627485 * | 批判的 | 閉源組件 |
| CVE-2022-33269 | A-250627391 * | 高的 | 閉源組件 |
| CVE-2022-33270 | A-250627431 * | 高的 | 閉源組件 |
| CVE-2022-40532 | A-264417883 * | 高的 | 閉源組件 |
| CVE-2023-21630 | A-264417203 * | 高的 | 閉源組件 |
常見問題與解答
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的設備是否已更新以解決這些問題?
要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本。
- 2023-04-01 或更高級別的安全補丁程序解決了與 2023-04-01 安全補丁程序級別相關的所有問題。
- 2023-04-05 或更高版本的安全補丁程序級別解決了與 2023-04-05 安全補丁程序級別和所有先前補丁程序級別相關的所有問題。
包含這些更新的設備製造商應將補丁字符串級別設置為:
- [ro.build.version.security_patch]:[2023-04-01]
- [ro.build.version.security_patch]:[2023-04-05]
對於某些運行 Android 10 或更高版本的設備,Google Play 系統更新將具有與 2023-04-01 安全補丁級別匹配的日期字符串。有關如何安裝安全更新的更多詳細信息,請參閱本文。
2. 為什麼本公告有兩個安全補丁級別?
此公告有兩個安全補丁程序級別,因此 Android 合作夥伴可以靈活地更快地修復所有 Android 設備上相似的部分漏洞。鼓勵 Android 合作夥伴解決此公告中的所有問題並使用最新的安全補丁程序級別。
- 使用 2023-04-01 安全補丁級別的設備必須包含與該安全補丁級別相關的所有問題,以及針對之前安全公告中報告的所有問題的修復。
- 使用 2023-04-05 或更高版本安全補丁程序級別的設備必須包含此(和之前的)安全公告中的所有適用補丁程序。
鼓勵合作夥伴將他們正在解決的所有問題的修復捆綁在一個更新中。
3.類型欄中的條目是什麼意思?
漏洞詳細信息表的類型列中的條目引用安全漏洞的分類。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠程代碼執行 |
| 期末 | 特權提升 |
| ID | 信息披露 |
| 拒絕服務 | 拒絕服務 |
| 不適用 | 分類不可用 |
4. References欄中的條目是什麼意思?
漏洞詳細信息表的參考列下的條目可能包含一個前綴,用於標識參考值所屬的組織。
| 字首 | 參考 |
|---|---|
| A- | 安卓漏洞編號 |
| 質檢- | 高通參考編號 |
| M- | 聯發科參考編號 |
| N- | NVIDIA 參考編號 |
| B- | 博通參考編號 |
| U- | 紫光展銳參考編號 |
5. References欄中Android bug ID 旁邊的* 是什麼意思?
未公開發布的問題在相應的參考 ID 旁邊有一個 *。該問題的更新通常包含在可從Google Developer 站點獲得的 Pixel 設備的最新二進制驅動程序中。
6. 為什麼將安全漏洞分為本公告和設備/合作夥伴安全公告,例如 Pixel 公告?
此安全公告中記錄的安全漏洞需要在 Android 設備上聲明最新的安全補丁程序級別。設備/合作夥伴安全公告中記錄的其他安全漏洞不需要聲明安全補丁程序級別。 Android 設備和芯片組製造商也可能會發布特定於其產品的安全漏洞詳細信息,例如穀歌、華為、 LGE 、摩托羅拉、諾基亞或三星。
版本
| 版本 | 日期 | 筆記 |
|---|---|---|
| 1.0 | 2023 年 4 月 3 日 | 公告發布 |
| 1.1 | 2023 年 4 月 11 日 | 公告已修訂以包含 AOSP 鏈接 |
| 2.0 | 2023 年 5 月 1 日 | 修訂後的 CVE 表 |